У п’ятницю Microsoft поділилася додатковою інформацією про тактику, прийоми та процедури (TTP), прийняті російською хакерською групою Gamaredon для сприяння серії атак кібер-шпигунства, спрямованих на декілька організацій в Україні за останні шість місяців.
Вважається, що атаки було спрямовано на урядові, військові, неурядові організації (НУО), судові, правоохоронні та некомерційні організації, головною метою їх є вилучення конфіденційної інформації, збереження доступу та використання її для переміщення у відповідні організації.
Центр розвідки загроз виробника Windows (MSTIC) відстежує кластер під псевдонімом ACTINIUM (раніше DEV-0157), дотримуючись своєї традиції ідентифікувати діяльність національної держави за іменами хімічних елементів.
Український уряд у листопаді 2021 року публічно оголосив про причетнісь Gamaredon до Федеральної служби безпеки (ФСБ) Росії та пов’язав його операції з Управлінням ФСБ Росії в Республіці Крим та місті Севастополь.
«З жовтня 2021 року ACTINIUM націлював або зламав облікові записи організацій, критичних для реагування на надзвичайні ситуації та забезпечення безпеки території України, а також організацій, які будуть залучені до координації розподілу міжнародної та гуманітарної допомоги Україні в умовах кризи», – йдеться в повідомленні дослідників MSTIC.
Варто зазначити, що Gamaredon являє собою унікальний набір атак, відокремлених від кібернаступів минулого місяця, які знищили декілька державних установ та юридичних осіб України за допомогою руйнівного зловмисного програмного забезпечення для видалення даних, замаскованого під програмне забезпечення-вимагач.
Атаки насамперед використовують фішингові листи як початковий вектор доступу, причому повідомлення містять вкладені макроси зі зловмисним програмним забезпеченням, які використовують віддалені шаблони, що містять шкідливий код, коли одержувачі відкривають підроблені документи.
Цікавою тактикою є те, що оператори також вбудовують «веб-помилку», схожу на піксель відстеження, в тіло фішингового повідомлення, щоб відстежувати, чи було повідомлення відкрите, після чого ланцюжок зараження запускає багатоетапний процес, який завершується розгортанням кількох бінарних файлів, у тому числі —
- PowerPunch – дроппер і завантажувач на основі PowerShell, який використовується для віддаленого отримання виконуваних файлів наступного етапу
- Pterodo – бекдор, що постійно розвивається, багатий на функції, який також має ряд можливостей, призначених для ускладнень аналізу
- QuietSieve – сильно заплутаний двійковий файл .NET, спеціально призначений для вилучення даних і розвідки на цільовому хості
«Хоча сімейство шкідливих програм QuietSieve в першу чергу націлено на вилучення даних із зламаного хоста, воно також може отримувати та виконувати віддалене корисне навантаження від оператора», — пояснили дослідники, а також наголосили на його здатності робити знімки екрана зламаного хоста. приблизно кожні п’ять хвилин.
Це далеко не єдине вторгнення, яке влаштував зловмисник, який також торкнувся неназваної західної урядової організації в Україні минулого місяця через заповнене шкідливим програмним забезпеченням резюме для активного списку вакансій, розміщеного на місцевому порталі вакансій. У грудні 2021 року він також був спрямований на Державну міграційну службу країни.
Висновки також надходять, оскільки Cisco Talos у своєму продовженні аналізу січневих інцидентів розкриває деталі поточної кампанії дезінформації, яка намагається приписати атаки зіпсування та стирання українським групам, які тривають щонайменше дев’ять місяців.